Dernières actualités : données personnelles

ICO (autorité anglaise)

Effet domino : l’impact dévastateur des violations de données

Imaginez une personne qui vient d’échapper à une relation abusive et dont l’adresse confidentielle est exposée à la suite d’une violation de données. Ou pensez à une personne vivant avec le VIH dont les informations médicales sont accidentellement divulguées. Il ne s’agit pas de scénarios rares ou exagérés – ils sont réels et se produisent. De telles violations peuvent entraîner la stigmatisation, la peur, la discrimination, voire un danger physique. Pour ceux qui se trouvent déjà dans une situation difficile, les effets peuvent être dévastateurs et changer leur vie.

La protection des données n’a jamais été une affaire d’ordinateurs ou de robots, mais de personnes. Les informations qui nous sont confiées ne se limitent pas à un ensemble de chiffres ou de détails : elles reflètent des vies individuelles. Pourtant, les chiffres révélés aujourd’hui par l’ICO montrent que 55 % des adultes ont vu leurs données perdues ou volées. Cela représente près de 30 millions de personnes. Les conséquences personnelles et émotionnelles de cette situation sont trop souvent négligées. Il est alarmant de constater que 30 % des victimes font état d’une détresse émotionnelle, alors que 25 % d’entre elles ne reçoivent aucune aide de la part des organisations responsables. Plus inquiétant encore, 32 % des personnes touchées l’apprennent par les médias plutôt que par l’organisation elle-même, ce qui accentue le sentiment de trahison.

Ces chiffres mettent en lumière un problème crucial : trop d’organisations ne mesurent pas pleinement le préjudice qu’elles causent lorsqu’elles traitent mal des données personnelles. Lorsqu’une violation de données se produit, il ne s’agit pas seulement d’une erreur administrative, mais d’une incapacité à protéger quelqu’un. Dans de nombreux cas, si cette personne se trouve dans une situation vulnérable, elle est déjà confrontée à d’innombrables défis personnels ou risque de subir des préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Peine de prison avec sursis pour d’anciens employés de RAC pour avoir volé des informations personnelles

Deux anciens employés du RAC ont été condamnés à une peine de prison avec sursis et à 150 heures de travail non rémunéré pour avoir illégalement copié et vendu plus de 29 500 lignes d’informations personnelles.
D. Okparavero, 61 ans, de Salford, et M. Islam, 51 ans, de Manchester, travaillaient comme spécialistes du service clientèle au centre d’appel de l’entreprise « RAC » (proposant des services automobiles) à Stretford. Leur comportement illégal a été découvert par l’entreprise, qui l’a signalé à l’ICO, après l’installation d’un nouveau logiciel de contrôle de la sécurité.

Le logiciel a montré qu’Okparavero avait illégalement accédé à des informations personnelles concernant des personnes impliquées dans des accidents de la route et les avait copiées. Une fouille ultérieure du téléphone portable d’Okaparavero a révélé que les informations avaient été partagées dans une discussion WhatsApp avec Islam. Les messages indiquaient qu’un tiers payait pour obtenir ces informations. En conséquence, lors d’une audience à Minshull Street Crown Court le 8 octobre 2024, Okparavero et Islam ont été condamnés à des peines de prison de 6 mois, suspendues pendant 18 mois, et chacun a reçu l’ordre d’effectuer 150 heures de travail non rémunéré. Les deux accusés avaient précédemment plaidé coupables d’infractions à la loi de 1990 sur l’utilisation abusive des ordinateurs et à la loi de 2018 sur la protection des données. Les frais de poursuite seront examinés lors d’une audience sur les produits du crime prévue le 5 mars 2025.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut